Ajablanarlisi shundaki, kompaniyalarning 83% kiberxavfsizlik buzilishlariga duch keldi

“Korxonalar nafaqat OTga tayanadi, balki aholi ham energiya va suv kabi hayotiy xizmatlar uchun ushbu texnologiyaga tayanadi. Afsuski, kiberjinoyatchilar juda muhim infratuzilma xavfsizligi odatda zaif ekanligini bilishadi. Natijada, tahdid qiluvchilar OTga ransomware hujumlari o‘z samarasini berishiga ishonishadi”, dedi Skybox Security bosh direktori va asoschisi Gidi Koen. "Yomonlik befarqlik bilan gullab-yashnagani kabi, ransomware hujumlari harakatsizlik davom etar ekan, OT zaifliklaridan foydalanishda davom etadi."

Operatsion texnologiya kiberxavfsizlik xavfi sezilarli darajada kam baholangan yangi tadqiqot tarmoqning murakkabligi, funktsional siloslar, ta'minot zanjiri xavfi va zaifliklarni bartaraf etishning cheklangan imkoniyatlaridan iborat bo'lgan OT xavfsizligi duch keladigan qiyin kurashni ochib beradi. Tahdid qiluvchilar OTning ushbu zaif tomonlaridan nafaqat alohida kompaniyalarga xavf solibgina qolmay, balki jamoat salomatligi, xavfsizligi va iqtisodiyotiga tahdid soladigan usullarda foydalanadilar.

2021 yilgi tadqiqotning asosiy natijalari quyidagilardan iborat:

• Tashkilotlar kiberhujum xavfini yetarlicha baholamaydi. Barcha respondentlarning 83 foizi o'z tashkiloti kelgusi yilda OT buzilishiga duch kelmasligiga "juda ishonchi komil". Shunga qaramay, 36%, shuningdek, oldingi XNUMX oy ichida kamida bitta OT xavfsizligi buzilganligini aytdi. Ushbu ob'ektlarning muhimligiga qaramay, xavfsizlik amaliyotlari ko'pincha zaif yoki umuman mavjud emas.

• CISOning idrok va haqiqat o'rtasidagi aloqasi CIO va CISO'larning 37 foizi kelgusi yilda o'zlarining OT xavfsizlik tizimi buzilmasligiga ishonchlari komil. Hujumlarning oqibatlari bilan ko'proq tajribaga ega bo'lgan zavod rahbarlarining atigi XNUMX foizi bilan solishtirganda. Ba'zilar o'zlarining OT tizimlarining zaif ekanligiga ishonishdan bosh tortsalar, boshqalari keyingi buzilish burchakda ekanligini aytishadi.

• Muvofiqlik xavfsizlikka teng emas. Bugungi kunga qadar muvofiqlik standartlari xavfsizlik hodisalarining oldini olishda yetarli emasligi isbotlangan. Qoidalar va talablarga rioya qilish barcha respondentlarni tashvishga soladigan eng asosiy masala edi. Muhim infratuzilmaga oxirgi hujumlar munosabati bilan tartibga solish talablariga muvofiqlik talablari ortib boraveradi.

• Murakkablik xavfsizlik xavfini oshiradi39 foizga ko'ra, ko'p sotuvchili texnologiyalar tufayli yuzaga kelgan murakkablik ularning OT muhitini himoya qilishda qiyinchilik tug'diradi. Bundan tashqari, barcha respondentlarning XNUMX foizi xavfsizlik dasturlarini takomillashtirishga asosiy to'siq qarorlar markaziy nazoratsiz alohida biznes bo'linmalarida qabul qilinishi ekanligini aytdi.

• Kibermas'uliyatni sug'urtalashni etarli deb hisoblaydi Respondentlarning XNUMX foizi kiber javobgarlikni sug'urtalash etarli yechim deb hisoblaydi. Biroq, kiber javobgarlik sug'urtasi so'rov ishtirokchilarining asosiy uchta tashvishidan biri bo'lgan to'lov dasturi hujumi natijasida kelib chiqadigan qimmat "yo'qolgan biznesni" qoplamaydi.

• Taʼsir qilish va yoʻl tahlili kiberxavfsizlikning asosiy ustuvor yoʻnalishlari hisoblanadi CISO va CIO’larning 48 foizi haqiqiy taʼsirni tushunish uchun atrof-muhit boʻylab yoʻl tahlilini oʻtkaza olmaslik ularning xavfsizlik boʻyicha uchta asosiy muammolaridan biri ekanligini aytishadi. Bundan tashqari, CISO va CIO'larning ta'kidlashicha, OT va IT muhitlari bo'ylab ajratilgan arxitektura (40%) va IT texnologiyalarining konvergentsiyasi (XNUMX%) ularning uchta eng katta xavfsizlik xavflaridan ikkitasidir.

• Funktsional siloslar jarayon bo'shliqlari va texnologiya murakkabligiga olib keladi CIO, CISO, Arxitektorlar, Muhandislar va Zavod menejerlarining barchasi OT infratuzilmasini ta'minlashdagi asosiy muammolar qatorida funktsional siloslarni sanab o'tadi. OT xavfsizligini boshqarish jamoaviy sportdir. Agar jamoa a'zolari turli o'yin kitoblaridan foydalansalar, ular birgalikda g'alaba qozonishlari dargumon.

• Ta'minot zanjiri va uchinchi tomon tavakkalchiligi asosiy tahdiddir Respondentlarning 46 foizi ta'minot zanjiri/tarmoqqa uchinchi tomonning kirishi xavfsizlikning eng yuqori uchta xavflaridan biri ekanligini aytdi. Biroq, faqat XNUMX% o'z tashkilotini OTga nisbatan qo'llaniladigan uchinchi tomon kirish siyosati deb hisobladi.

Qo'llab-quvvatlovchi iqtiboslar

• Navistar, Inc., Axborot xavfsizligi bo'yicha menejeri Robert Linch: “Ba'zi CISOlar noto'g'ri ishonchga ega bo'lishi mumkin, chunki ular allaqachon buzilgan bo'lsa ham, ular buni hali aniqlamagan; ba'zida xakerlar uzoq vaqt davomida o'z tayanchlarini o'rnatadilar. Ishonchli bo'lish xavfli, chunki yomon odamlar juda yaxshi."

• Skybox Security Research Lab Threat Intelligence rahbari Sivan Nir: “Bizning tahdidlar bo‘yicha razvedka ma’lumotlarimiz shuni ko‘rsatadiki, OTdagi yangi zaifliklar 46-yilning birinchi yarmiga nisbatan 2020 foizga oshgan. Zaifliklar va so‘nggi hujumlar ortib borayotganiga qaramay, ko‘plab xavfsizlik guruhlari OT xavfsizligini muhim vazifaga aylantira olmaydi. korporativ ustuvorlik. Nega? Ajablanarli topilmalardan biri shundaki, ba'zi xavfsizlik guruhi xodimlari o'zlarining zaif ekanliklarini inkor etadilar, lekin ular buzilganligini tan olishadi. Aksincha dalillarga qaramay, ularning infratuzilmasi xavfsiz ekanligiga ishonish OT xavfsizligi bo'yicha yetarli choralar ko'rilmasligiga olib keldi.

Qo'shimcha ma'lumot olish uchun to'liq tadqiqot tadqiqotini yuklab oling.

Metodologiya

Tadqiqot AQSh, Buyuk Britaniya, Germaniya va Avstraliyadagi OT xavfsizligi bo'yicha qaror qabul qiluvchi 179 kishining javoblarini o'z ichiga olgan. Respondentlarning aksariyati (152) ishlab chiqarish, energetika va kommunal sohalardagi daromadlari 1 milliard dollar yoki undan ko'p bo'lgan kompaniyalardan edi.